Спецпроекты

Google пообещала $1,5 млн за взлом нового Android

Безопасность Стратегия безопасности Пользователю Техника

Корпорация Google повысила до $1 млн вознаграждение за успешное создание эксплойтов, которые позволят обойти защиту специализированного процессора Titan M; в полтора раза больше будет заплачено тем, кто найдёт возможность обойти и защиту новых предварительных сборок ОС Android для разработчиков.

Мы заплатим много денег...

Корпорация Google объявила, что заплатить до 1-1,5 млн за успешный взлом новых версий Android и защитного процессора Titan M для устройств на базе этой операционной системы.

От соискателей награды потребуется создать эксплойт или «полнодиапазонную цепочку» эксплойтов, которые позволят потенциальным злоумышленникам запускать на устройстве с Titan M произвольный код, и при этом вредонос сможет длительное время сохраняться на устройстве. За это Google заплатит $1 млн.

$1,5 млн обещано тем, кто создаст цепочку эксплойтов, позволяющую обойти защиту будущей версии ОС Android.

Titan M представляет собой специализированную защитную микросхему, обеспечивающую безопасность устройств - на данный момент ею снабжены Google Pixel 3 и Pixel 4. Процессор осуществляет обработку наиболее важных и конфиденциальных данных и процессов, в том числе Verified Boot (процедура доверенной загрузки), шифрование накопителей и безопасную передачу данных.

androidexploit600.jpg
Google заплатит до $1,5 млн за успешный взлом новых версий Android и защитного процессора Titan M, но это меньше, чем предлагают брокеры эксплоитов

Что касается «полнодиапазонной цепочки эксплойтов», то, судя по описанию Google, речь идёт о серии программ, последовательно эксплуатирующих комбинации уязвимостей, в результате чего становится возможным запустить произвольный код и/или возможность вывести данные или обойти экран блокировки.

...Но при соблюдении некоторых условий

Реальный размер вознаграждения будет зависеть от ряда факторов, таких как наличие полноценного описания работы эксплойтов; изначальный вектор атаки; надёжность эксплойта. Размер награды также будет варирьироваться в зависимости от того, какой объём необходимого «содействия» со стороны пользователя потребуется для запуска вредоноса, насколько велики шансы пользователя обнаружить работу вредоносных программ, а также того, будет ли эксплойт или цепочка эксплойтов работать только на каком-то одном устройстве, в рамках одной версии/сборки Android или окажется эффективным сразу на множестве устройств.

Google обещает заплатить в полтора раза больше за выявление комбинаций эксплойтов, работающих на предварительных версиях Android, выпущенных специально для разработчиков.

И всё равно меньше, чем некоторые

Повышение ставок, вероятно, связано с тем, что брокеры эксплойтов вроде Zerodium с недавних пор стали предлагать огромные деньги за эксплойты, позволяющие взламывать устройства под Android и iOS.

В частности, с сентября Zerodium предлагает $2,5 млн за комбинацию эксплойтов с возможностью взлома устройств под Android без участия пользователя вообще (Zero Click) и с сохранением присутствия в системе. За аналогичные комбинации под iOS впервые предлагаются меньшие суммы - $2 млн.

«Даже увеличив теоретический размер вознаграждения, Google предлагает существенно меньше, чем Zerodium, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Это ставит Google в не самое выгодное положение: в случае реального обнаружения необходимых уязвимостей исследователи скорее обратятся в Zerodium. С другой стороны, сами по себе запредельные суммы возможного вознаграждения указывают на то, что ни в Google, ни в Zerodium особо не верят в возможность обнаружения уязвимостей, отвечающих заданным ими параметрам».



Взгляд месяца

Самая непростая ситуация — с импортозамещением СУБД

Денис Терещенко

заместитель руководителя ФТС

Стратегия месяца

Зачем государство ввязалось в гонку технологических вооружений

Михаил Замыцкий

директор по развитию «Ситилинк»